Zašto su deepfake glasovni pozivi 2026. realan problem, ne sci-fi

Donedavno je za uvjerljivo kloniranje glasa trebao dan vremena u studiju i stotinu rečenica izvornika. Sredinom 2024. ElevenLabs, OpenAI Voice Engine, Microsoft VALL-E i niz open-source modela (XTTS-v2, MetaVoice, OpenVoice) demokratizirali su tehnologiju do točke gdje:

  • Tri sekunde čistog glasa (jedan Instagram reel, jedan YouTube isječak, jedan TikTok klip) dovoljne su da model klonira glas na razini koja zavarava 80% sugovornika.
  • Klon je interaktivan u realnom vremenu. Prevarant tipka i klon priča vašim glasom. Latencija ispod 300 ms.
  • Cijena je marginalna. ElevenLabs Pro plan košta 22 USD/mjesec. Ako je cilj prevariti tvrtku za 50.000 €, alat se isplati nakon prvog uspješnog napada.

Prvi javno objavljen visokoprofilni slučaj u EU bio je 2024.: zaposlenica u Hong Kongu uplatila je 25 milijuna USD na temelju Zoom poziva s deepfake video + glas verzijom CFO-a tvrtke. U 2025. takve scheme su počele udarati i u srednje europske tvrtke, uključujući nekoliko prijava hrvatskoj CARNet-CERT službi.

Tri tipična scenarija u 2026.

1. CEO fraud / direktorska prevara

Cilj: računovodstvo ili financije male/srednje tvrtke. Modus:

  • Prevarant prikupi javne snimke direktora (LinkedIn predavanja, podcast intervjui, YouTube panel diskusije, korporativne videe). 1-2 minute glasa = više nego dovoljno.
  • Pošalje računovođi mail s lažirane domene (director@firmaa.hr umjesto director@firma.hr — slovo "a" duplo).
  • Mail: "Pozvat ću te za 10 minuta o hitnoj akviziciji. Strogo povjerljivo, ne diskutiraj ni s kim."
  • Poziv stiže s broja koji izgleda kao mobitel direktora (caller ID spoofing — banalno preko VoIP servisa).
  • Glas je gotovo identičan. Žurba: "Frelu, treba mi 87.000 € na ovaj IBAN do 14:00, inače propada akvizicija."

Računovođa, naviknuta na šefovu intonaciju i autoritet, odobri doznaku. Sredstva odlaze u offshore u 30 minuta, nakon čega su praktički nepovratna.

2. "Unuk u nevolji" — prevara s emocionalnim šokom

Cilj: starije osobe. Modus:

  • Prevarant pronađe javne objave (Facebook, Instagram) gdje unuk/unuka snima video. Klonira njegov/njezin glas.
  • Zove baku/djeda. Glas je u panici, plače, viče: "Bako, imao sam nesreću, u policiji sam, trebam 3.000 € za odvjetnika, molim te ne reci mami, posuđujem ti samo do sutra!"
  • Predaje slušalicu "policajcu" ili "odvjetniku" koji preuzima logističko vođenje uplate (Wise transfer, kriptovalute, gift kartice).

Hrvatska policija je u 2025. registrirala desetke ovakvih prijava. Većina su starije osobe iz Zagreba, Splita, Rijeke i Pule.

3. "Banka me zove" — autorizacija plaćanja

Cilj: bilo tko s kreditnom karticom ili poslovnim bankarstvom. Modus:

  • Prevarant koristi spoofing da poziv izgleda kao da dolazi s broja banke (PBZ 0800 broj, Zaba 0800).
  • Glas u službenom tonu kaže: "Zovem iz odjela za prevarne transakcije Zagrebačke banke. Detektirali smo sumnjivu transakciju na vašoj kartici od 1.200 € prema Italiji. Da je blokiramo, treba mi vaš PIN broj za potvrdu identiteta."

Glas je opušten, profesionalan, koristi tehničke termine. Žrtva, već uplašena, kaže PIN. Karta je istog sata praznena.

Kako prepoznati kloniran glas — tehnički znakovi

Generativni AI modeli 2026. su izuzetno dobri, ali još uvijek imaju potpise koje pažljivi slušatelj može detektirati:

  • Disanje na pogrešnom mjestu. Pravi ljudi udišu prirodno, na rečeničnim pauzama. Kloniran glas često diše svakih 3-4 sekunde mehanički, ili uopće ne diše (model je naučio na editiranom audio sadržaju iz kojeg su uklonjeni udasi).
  • Ujednačeni ritam. Pravo govorenje varira tempo — usporite kad ste nesigurni, ubrzate kad ste uzbuđeni. Kloniran glas često zvuči "ravno", kao da netko čita scenarij.
  • Pozadinski zvuk nestaje. Ako vas šef "zove iz auta", trebali biste čuti motor, signalizator, ulično. Kloniran poziv obično ima gluho čistu pozadinu — model proizvodi samo glas, ne ambijent.
  • Nesposobnost spontanog odgovora. Klon dobro reproducira pripremljen sadržaj, ali kad postavite neobično pitanje ("Koje smo igre igrali s mojim sinom prošli tjedan?", "Koji je bio naš prvi pas?"), prevarant zastane, pokušava skenirati Facebook, ili odgovor zvuči generički.
  • Ponavljanje fonema. Određeni glasovi (š, ž, ć, č u hrvatskom) ponekad zvuče digitalno-stisnuto. AI modeli su uglavnom trenirani na engleskom; hrvatski fonemi su slabija točka.
  • Nepravilna pauza pri promjeni teme. Klon kojeg vodi tipkalo ima malu pauzu od 200-500 ms prije svake nove rečenice. Pravi sugovornik tu pauzu nema.

Tri stvari koje se moraju mijenjati u tvrtki

Ako u tvrtki imate ovlaštenja za plaćanja (računovodstvo, financije, direktorica), uvedite ove protokole prije nego se dogodi prevara:

1. Out-of-band verifikacija svake izvanredne isplate

Svaka uplata iznad unaprijed dogovorenog praga (npr. 10.000 €), naručena glasovnim pozivom ili e-mailom, mora biti verificirana drugim, neovisnim kanalom:

  • Pozovite direktora na njegov broj iz tvrtkinog imenika (ne na broj koji ste vidjeli u caller ID-u — broj je lažiran).
  • Pošaljite WhatsApp poruku tipa: "Provjeravam jeste li doista naložili 87.000 € prema X-u."
  • Pošaljite Slack DM ili Microsoft Teams chat — i čekajte odgovor preko platforme na kojoj se ne može spoofati identitet.

2. Codeword (lozinka) za izvanredne situacije

Direktor i ovlaštena osoba imaju zajednički dogovorenu lozinku — riječ ili kratku frazu koja nikad nije izgovorena javno, nikad e-mailom, nikad u poslovnoj komunikaciji. Pri sumnjivom pozivu:

"Šefe, prije nego što obradim, ponovi mi lozinku za hitne uplate."

Prevarant koji koristi kloniran glas tu lozinku ne zna. Klon ne može odgovoriti.

3. "Hitnoća" kao crvena zastava

Pravi izvršni direktori 2026. ne traže uplate s rokom od 30 minuta. Apsolutno hitan zahtjev je u svakom slučaju signal za usporavanje, ne za ubrzavanje. Standardni interni protokol bi trebao biti:

Sve uplate iznad praga zahtijevaju 24-satnu pauzu i potpis dvaju ovlaštenika. Iznimaka nema. Nikad. Ni za jednog direktora.

Ovo je edukacijska borba — direktori često ne vole "papirologiju" i pritišću na brže odluke. Ali jedan uspješan deepfake može koštati tvrtku godine prihoda.

Tri stvari koje obitelj mora dogovoriti

1. Obiteljski codeword

Roditelji, djeca, baka, djed — svi imaju zajedničku riječ. Pri svakom panic pozivu ("Imao sam nesreću!"), prvo pitanje treba biti:

"Koja je naša lozinka?"

Ako sugovornik ne odgovori odmah, prekinite poziv i nazovite osobu na njezin pravi broj. Ne paničite. Lopov se klađe na vašu paniku.

2. Nikad ne uplaćivati kroz poziv

Pravilo: nijedna policija, banka, hitna pomoć ili odvjetnik nikad ne traži uplatu tijekom telefonskog poziva. Niti za jamčevinu, niti za "obradu". Svaki takav zahtjev je 100% prevara.

3. Treniranje starijih članova obitelji

Igrajte vježbu: namjerno snimite glas svoga djeteta i pustite ga baki/djedu da čuju kako uvjerljivo zvuči. Neka prepoznaju opasnost konkretno, ne apstraktno. Većina ljudi misli "meni se to ne može dogoditi" — dok ne čuju vlastiti glas na snimci o kojoj im nisu rekli.

Što s policijom i prijavom

Ako ste već postali žrtva:

  1. Odmah pozovite banku — ima šanse zaustaviti transakciju ako su prošle prve dvije sata. Prijavite preko 24/7 broja banke (na poleđini kartice ili na službenim stranicama, ne na onom koji vam je dao prevarant).
  2. Prijavite policiji u nadležnoj postaji preko web obrasca mup.gov.hr/onlineprijava ili osobno. Tražite zapisnik o kaznenom djelu prijevare (čl. 236 KZ).
  3. Prijavite CARNet-CERT-u ako se radi o napadu na pravnu osobu (incidenti@cert.hr).
  4. Sačuvajte sve dokaze — snimku poziva ako je bila aktivirana, e-mailove s lažirane domene, IBAN broj na koji su sredstva otišla, vrijeme transakcije.

Šansa za povrat sredstava je realno mala — prevaranti koriste lance račune koji u 48 sati pretvaraju EUR u kripto i izlaze iz EU jurisdikcije. Ali svaka prijava pomaže policiji u praćenju mreže i, eventualno, postavljanju zamke.

Alati koji mogu pomoći

Tehnološka rješenja koja se počinju pojavljivati 2026.:

  • Pindrop (US, pretežno bankarski sektor) — analizira voice paket u realnom vremenu i prepoznaje sintetičke uzorke.
  • AI Voice Detector (web servis) — pošaljete snimku, dobijete vjerojatnost da je AI-generated. Ne radi u realnom vremenu, ali korisno za analizu nakon poziva.
  • Resemble Detect (open API).
  • Hiya Connect Voice Trust — telekom-grade rješenje, najavljen i za europsko tržište.

Niti jedan od ovih alata nije savršen — postoji konstantna utrka između generatora i detektora. Detektor zadnje generacije danas postaje zastarjelo sutra.

Što očekivati u 2026.-2027.

  • Video deepfake u realnom vremenu za WhatsApp video pozive (već viđen u laboratoriju, krenuo na crno tržište).
  • Klon glasa s naglaskom i dijalektom — modeli specifični za hrvatski/srpski/bosanski područje, ne više samo engleski.
  • EU AI Act, čl. 50, već zahtijeva označavanje AI-generated sadržaja vodenim pečatima, ali implementacija je u 2026.-2027. još slaba i kriminalci je ignoriraju.
  • Telekom-level zaštita kroz STIR/SHAKEN (autentifikacija broja) — u SAD-u već raširen, u EU se uvodi 2026.-2028.

Zaključak

Deepfake glasovni pozivi 2026. nisu sci-fi nego radna kriminalna industrija. Tehnička obrana je važna, ali proceduralna obrana je presudna: dogovorene lozinke, out-of-band verifikacija, 24-satna pauza za velike isplate, edukacija starijih članova obitelji.

Sjetite se: prevarant igra na autoritet (direktor!) i paniku (unuk u nesreći!). Oboje su odgovori koji nas evolucijski vraćaju na "djelujte brzo, mislite kasnije". Vaše svjesno pravilo treba biti suprotno: što veća žurba, to veća sumnja, to dulji predah prije bilo kakve uplate.

Jedan minuta usporavanja danas može sačuvati godine štednje. Sat vremena uvedene procedure u tvrtki može sačuvati cijelu tvrtku.